Открыть сервис

Контроль доступа

Контроль доступа — это совокупность методов, правил и технических средств, предназначенных для ограничения или разрешения доступа субъектов (пользователей, процессов, устройств) к объектам (ресурсам, данным, помещениям, системам) в соответствии с заданной политикой безопасности. Контроль доступа является фундаментальным механизмом обеспечения информационной и физической безопасности, позволяющим предотвратить несанкционированное использование, модификацию, копирование или уничтожение защищаемых ресурсов.

Основные понятия и компоненты

Система контроля доступа (СКД) оперирует тремя базовыми сущностями: субъект доступа, объект доступа и операция доступа. Субъектом может быть человек, программный процесс, устройство или группа, инициирующие запрос на доступ. Объектом — файл, база данных, сервер, помещение, дверь, сейф или любой другой ресурс, к которому требуется ограничить доступ. Операция доступа — это действие, которое субъект может выполнить над объектом (чтение, запись, выполнение, открытие, вход).

Ключевым элементом является политика безопасности — формальный набор правил, определяющих, какие субъекты и при каких условиях могут выполнять те или иные операции над объектами. Политика может быть реализована аппаратно, программно или организационно.

Модели контроля доступа

Существует несколько классических моделей, определяющих логику принятия решений о доступе.

Дискреционное управление доступом (DAC)

В модели дискреционного управления доступом (DAC, от англ. Discretionary Access Control) владелец объекта (или уполномоченное лицо) самостоятельно определяет права доступа для других субъектов. Каждый объект имеет список управления доступом (ACL, Access Control List), в котором перечислены субъекты и разрешённые для них операции. Эта модель широко используется в операционных системах (например, права на файлы в Windows или Linux), но уязвима для атак, связанных с передачей прав («троянский конь»).

Мандатное управление доступом (MAC)

Мандатное управление доступом (MAC, от англ. Mandatory Access Control) основано на присвоении субъектам и объектам меток безопасности (например, уровней секретности: «несекретно», «секретно», «совершенно секретно»). Доступ разрешается только в том случае, если метка субъекта соответствует или превышает метку объекта (для чтения) и не превышает её (для записи). Эта модель применяется в системах, требующих высокой степени защиты, — в государственных и военных структурах, а также в некоторых СУБД и операционных системах (например, SELinux, AppArmor). MAC обеспечивает строгое соблюдение политики, не зависящей от воли пользователей.

Ролевое управление доступом (RBAC)

Ролевое управление доступом (RBAC, от англ. Role-Based Access Control) является наиболее распространённой моделью в корпоративных информационных системах. Доступ предоставляется не отдельным пользователям, а ролям (например, «бухгалтер», «администратор», «менеджер»), которые объединяют набор прав. Пользователь получает доступ, будучи назначенным на одну или несколько ролей. RBAC упрощает администрирование, так как изменение прав для группы пользователей сводится к изменению прав роли.

Другие модели

К числу менее распространённых, но важных моделей относятся:

  • Атрибутное управление доступом (ABAC) — решение принимается на основе атрибутов субъекта, объекта, среды и действия (например, время суток, местоположение, тип устройства).
  • Управление доступом на основе истории (HBAC) — учитывает предыдущие действия субъекта.
  • Управление доступом на основе контекста (CBAC) — анализирует контекст запроса (например, сетевой трафик).

Методы аутентификации и идентификации

Контроль доступа неразрывно связан с процессами идентификации (предъявление субъектом своего идентификатора) и аутентификации (подтверждение подлинности идентификатора). Основные методы аутентификации делятся на три категории:

  1. По знанию (что-то, что знает субъект): пароль, PIN-код, кодовое слово.
  2. По владению (что-то, что имеет субъект): смарт-карта, USB-ключ, токен, мобильное устройство с одноразовым кодом.
  3. По свойству (что-то, что является частью субъекта): биометрические данные — отпечаток пальца, рисунок радужной оболочки глаза, геометрия лица, голос.

Для повышения надёжности применяется многофакторная аутентификация (MFA), требующая использования двух или более различных методов.

Технические средства реализации

Программные средства

  • Операционные системы — встроенные механизмы (ACL, права доступа, SELinux, AppArmor).
  • Системы управления базами данных (СУБД) — предоставление и отзыв привилегий (GRANT, REVOKE).
  • Серверы приложений — ролевые модели, управление сессиями.
  • Системы управления идентификацией и доступом (IAM) — централизованное управление учётными записями, ролями, политиками (например, Microsoft Active Directory, Keycloak, FreeIPA).

Аппаратные средства

  • Считыватели — для смарт-карт, биометрических данных, RFID-меток.
  • Электромеханические замки — управляемые контроллером.
  • Турникеты, шлюзы, двери с электромагнитными замками — физическое преграждение.
  • Контроллеры СКУД — управляют устройствами и принимают решения о доступе на основе данных от считывателей и сервера.
  • Серверы СКУД — централизованное хранение базы данных, ведение журналов событий.

Применение

Физическая безопасность

Системы контроля доступа (СКУД) широко применяются на предприятиях, в офисах, банках, на режимных объектах, в жилых комплексах, аэропортах и вокзалах. Они позволяют:

  • Ограничить проход в помещения.
  • Вести учёт рабочего времени.
  • Автоматически блокировать доступ при попытке взлома.
  • Интегрироваться с системами видеонаблюдения и пожарной сигнализации.

Информационная безопасность

В ИТ-инфраструктуре контроль доступа реализуется на всех уровнях:

  • Уровень сети — межсетевые экраны (брандмауэры), VPN, списки управления доступом (ACL) на маршрутизаторах и коммутаторах.
  • Уровень операционной системы — права пользователей и групп.
  • Уровень приложений — ролевые модели веб-сервисов, CRM, ERP.
  • Уровень данных — шифрование, разграничение доступа к записям в базах данных.

Критика и ограничения

Основные проблемы, связанные с контролем доступа, включают:

  • Сложность администрирования — в крупных организациях управление тысячами учётных записей и прав может быть трудоёмким и подверженным ошибкам.
  • Уязвимости реализации — ошибки в коде СКД или неправильная настройка могут привести к обходу защиты.
  • Проблема «привилегированного пользователя» — администраторы с максимальными правами могут злоупотребить ими.
  • Необходимость баланса между безопасностью и удобством — чрезмерно строгие политики снижают производительность и вызывают раздражение пользователей, что может привести к попыткам их обхода.
  • Социальная инженерия — злоумышленники могут получить доступ, обманув сотрудников, а не взламывая технические средства.

Источники

  • ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения».
  • ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности организации. Основные термины и определения».
  • Фергюсон Н., Шнайер Б. «Практическая криптография».
  • Барсуков В. С. «Безопасность: технологии, средства, услуги».
  • Материалы курсов по информационной безопасности (CISSP, CISM).
  • Документация по системам управления доступом (СКУД) ведущих производителей (HID Global, Bosch, Parsec).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →